这个涉及到入侵检测类
如果木马是潜伏期,比较复杂,一时半会给你讲不清楚
如果木马是活动期,正在大流量发包,
方法如下
1、iptraf -f,然后 选 IP traffic monitor
指定你的网卡
会看到很多对应关系,这样就可以找到发包最大的IP对应关系出来
2、netstat -tuanp |grep 大流量ip ,会得到对应进程
3、iptables限制其出网
4、kill并删除对应进程,然后查看/etc/rc.d 有没有被注东西,包括chkconfig等,所有系统自起的全看看,,详细的可以查询一下入侵检测部分时间有限不一 一说了
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024